Een interview met Tim Kemper
De herziene versie van de ISO 27001 norm voor informatiebeveiliging is in oktober 2022 gepubliceerd, de voorgaande versie van deze certificering stamde nog uit 2017. Om te zorgen dat jouw organisatie een goede keuze kan maken en bepalen wat het beste moment is om over te stappen op de herziene versie van de ISO 27001 norm, gingen wij in gesprek met collega Tim Kemper. We nemen in je in dit blog, graag aan de hand mee en behandelen de volgende vragen:
Wat zijn de veranderingen in de nieuwe ISO27001:2022?
Wat zijn de belangrijkste veranderingen in de Harmonized Structure en de beheersmaatregelen?
Wat houdt de GAP analyse in?
Hoe kun je je als organisatie voorbereiden op de overgang naar deze vernieuwde versie van de norm?
Hoe stap je als organisatie over op de herziene versie voor de ISO 27001 norm en hoe kan Protify jouw organisatie helpen?
Wanneer kan mijn organisatie het beste overstappen, juist nu of bij hercertificering?
Wat is de impact voor jouw organisatie?
Wat zijn de veranderingen in de nieuwe ISO 27001:2022?
De voornaamste wijzigingen in de nieuwe norm ten aanzien van de versie die in 2017 was gepubliceerd zijn de volgende:
De High Level Structure (HLS) is hernoemd naar Harmonized Structure (HS) en een aantal normonderdelen zijn aangepast.
De opbouw van de beheersmaatregelen is aangepast en bestaat nu uit maar vier in plaats van 14 hoofdstukken. Het aantal beheersmaatregelen is teruggebracht, van 114 naar 93. Sommige beheersmaatregelen zijn samengevoegd, er zijn ook 11 nieuwe toegevoegd.
Lees meer over de veranderingen in ons blog Nieuwe norm ISO 27001 versie 2022.
Wat zijn de belangrijkste wijzigingen in de Harmonized Structure (HS)?
Het dient beschreven te zijn aan welke behoeftes en verwachtingen van stakeholders middels het ISMS invulling aan wordt gegeven.
De HS bevat een nieuwe paragraaf met betrekking op wijzigingsbeheer. De wijzigingen aan het managementsysteem dienen op een geplande manier te worden uitgevoerd.
De prestaties van de informatiebeveiliging en de doeltreffendheid van het ISMS dienen te worden geëvalueerd.
In de managementreview dienen veranderingen in de verwachtingen van stakeholders nu ook te worden beoordeeld.
Wat zijn de grootste veranderingen in de beheersmaatregelen?
De grootste veranderingen hebben betrekken op de beheersmaatregelen, welke worden toegelicht in onderstaande onderwerpen. Per onderwerp geven wij door middel van een aantal vragen aan, waar je als organisatie over na moet denken. Door deze vragen door te nemen kun je je als organisatie voorbereiden op de nieuwe versie van de ISO 27001 norm:
Cloud services: Wat heb je als organisatie afgesproken met leveranciers van cloud diensten over het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten? Bijvoorbeeld over een exit-strategie (bijvoorbeeld: wie blijft eigenaar van de data)?
Threat intelligence: Hoe wordt jouw organisatie op de hoogte gehouden van bedreigingen in de informatiebeveiliging, op kwetsbaarheden en andere zaken? Hoe reageer je hier als organisatie op en hoe ga je daarmee om?
Voorkomen van gegevenslekken: Over welke informatie beschikt jouw organisatie, waar staat dit opgeslagen? Welke maatregelen heeft jouw organisatie genomen om een gegevenslek te voorkomen?
Wissen van informatie: Hoe lang heb je informatie binnen jouw organisatie nodig? Hoe zorg je het daarna niet meer vrij benaderbaar is of wordt verwijderd? Denk na over een logische termijn voor het (beschikbaar) houden van data?
Softwareontwikkeling, secure coding, oftewel beveiligde ontwikkeling: Waar houd je als organisatie rekening mee in het ontwikkelproces? Wat zijn de secure coding principles, hoe vindt testen plaats? Hoe zorg je als organisatie voor data masking, oftewel dat er een live data, maar wel representatieve en realistische testdata worden gebruikt?
Configuratiemanagement: Hoe zorg je dat de IT-infrastructuur van jouw organisatie op een passende wijze wordt geconfigureerd, passend bij het gewenste beveiligingsniveau, rekening houden met standaarden? Hoe zorg je als organisatie dat die configuratie ook blijvend passend is, alleen volgens een vast proces aangepast kan worden en dat niet iemand zelfstandig zo maar grote wijzigingen kan doorvoeren? Zorg je dat eventuele wijzigingen ook worden geregistreerd?
Extra eisen omtrent monitoring:
Web filtering: Hoe zorg je dat je schadelijke websites binnen jouw organisatie blokkeert?
Kwetsbaarheden: Hoe zorg je als organisatie dat je wordt geïnformeerd over kwetsbaarheden, bijvoorbeeld door organisaties die daarin zijn gespecialiseerd?
Data back-up beleid: Wat is de bewaartermijn van data?
Registratie toeleveranciers: Hoe worden toeleveranciers geregistreerd?
GAP analyse: hoe kan jouw organisatie invulling geven aan de nieuwe versie van ISO 27001?
Wil je je als organisatie wil overstappen naar de nieuwe versie van ISO 27001? Dan dient de certificerende instelling (CI) een transitieaudit uit te voeren. Deze transitieaudit neemt meestal een halve dag in beslag en bestaat uit de volgende onderdelen:
Beoordelen hoe jij als organisatie invulling hebt gegeven aan de nieuwe en gewijzigde eisen uit de norm. Hier wordt het meeste belang aan gehecht tijdens deze audit.
Hoe zijn deze wijzigingen opgenomen in het managementsysteem (ISMS)?
Beoordeling van de nieuwe Verklaring van Toepasselijkheid (VvT)
Zijn er eventuele aanpassingen in het risicobehandelplan.
Kortgezegd richt deze transitieaudit erop hoe jouw organisatie invulling gegeven heeft aan de nieuwe normeisen en hoe is dit toegepast in het ISMS. Wanneer je een transitieaudit uit laat voeren, zijn dit bijkomende kosten, die je als organisatie anders niet zou hebben.
Hoe kan Protify jouw organisatie ondersteunen met de overstap op ISO 27001: 2022?
Wij bieden twee sessies aan van 2,5 à 3 uur:
GAP analyse en introductie nieuwe norm:
Wat zijn de wijzigingen in de nieuwe ISO 27001? We gaan in op HS versus HLS en de wijzigingen in de beheersmaatregelen. Wat houden deze wijzigingen in en wat betekent dit voor jouw organisatie?
Uitvoeren GAP analyse die tijdens de transitieaudit wordt beoordeeld. Wij gebruiken deze GAP analyse om te kijken hoe jouw organisatie invulling heeft gegevens aan de nieuwe norm in jouw ISMS en welke stappen je mogelijk nog moet nemen om hieraan te gaan voldoen. Wanneer jouw organisatie nog niet is gecertificeerd bent, is de GAP analyse niet nodig.
Invulling geven aan de nieuwe ISO 27001-2022: hoe geven we samen invulling aan de nieuwe onderdelen van de norm? Hier kijken we vooral naar de nieuwe beheersmaatregelen, hoe deze uitgewerkt en aangepast dienen te worden.
Op basis van deze twee sessies, maken wij een opzet in het managementsysteem, opgenomen in de ProActive Compliance Tool (PCT), waarbij de nieuwe onderdelen worden meegenomen en bestaande onderdelen worden aangevuld. Dit wordt ter review aan jouw organisatie aangeboden, zodat dit daarna kan worden gefinaliseerd. Daarna wordt op basis hiervan bepaalt of jouw organisatie klaar is voor de externe audit. Zorg ook dat je tijdig een afspraak maakt met CI wanneer je wil (her)certificeren.
“Ga over op de nieuwe versie van ISO 27001 aan het einde van de auditscyclus oftewel bij hercertifcering of voor het einde van 2025.”
Wanneer kun je het beste overstappen op de nieuwe norm?
“Wij adviseren onze klanten die nu nog in hun certificeringscyclus nog niet over te stappen op nieuwe versie van ISO 27001. Maar juist over te stappen aan het einde van de auditcyclus (bij hercertificering). Je kan als organisatie nog tot het einde van je auditcyclus versie uit 2017 blijven hanteren. Ondanks dat er verschillen zijn in de versies van de norm, wordt er in huidige markt nog niet gekeken op welke versie van de norm jouw organisatie gecertificeerd is. Wanneer je nu als organisatie overstapt, ben je extra kosten kwijt, namelijk een halve dag voor de analyse vanuit de CI.
Dus ons advies is: ga over op het moment dat het moet; of aan het einde van de auditscyclus ofwel hercertifcering of voor het einde van 2025.” aldus Tim Kemper.
Wat is de impact voor jouw organisatie om over te stappen op de nieuwe norm?
Wanneer je als organisatie al bent gecertificeerd voor ISO 27001 is de impact niet erg groot, natuurlijk zijn er nieuwe beheersmaatregelen waar je als organisatie invulling aan dient te geven. Maar als je je voorbereidt bijvoorbeeld door met ons de ISO 27001:2022 sessies in te plannen, kunnen wij jouw organisatie ondersteunen over te stappen op het juiste moment naar de nieuwe norm. Het houdt in dat je je huidige managementsysteem dient aan te vullen en een aantal onderdelen dient toe te voegen.
Meer informatie over ISO 27001:2022 en hoe en wanneer jouw organisatie het beste kan overstappen?
Neem contact met ons op en we vertellen je graag wat de beste keuze is voor jouw organisatie.